高楓

《網(wǎng)絡(luò)犯罪》雜志表示，到2021年，全球因數(shù)據(jù)泄露的損失將超過(guò)60億美元。這里介紹一些2019年最常見(jiàn)的數(shù)據(jù)泄露原因以及如何及時(shí)解決這些問(wèn)題。

錯(cuò)誤配置的云存儲(chǔ)

現(xiàn)在很難找到?jīng)]有涉及不受保護(hù)的AWS S3存儲(chǔ)系統(tǒng)，Elasticsearch或MongoDB的安全事件。一項(xiàng)全球研究表明，只有32 %的組織認(rèn)為在云中保護(hù)其數(shù)據(jù)是他們自己的責(zé)任。更糟糕的是，同一份報(bào)告顯示，仍有51 %的組織未使用加密來(lái)保護(hù)云中的敏感數(shù)據(jù)。

有報(bào)道顯示99 %的云和IaaS錯(cuò)誤配置屬于最終用戶(hù)控制范圍，并且未被注意。Qualys歐洲，中東和非洲地區(qū)首席技術(shù)安全官M(fèi)arco Rottigni解釋了這個(gè)問(wèn)題：“一開(kāi)始，一些最常見(jiàn)的云數(shù)據(jù)庫(kù)實(shí)現(xiàn)附帶沒(méi)有安全性或訪問(wèn)控制作為標(biāo)準(zhǔn)。必須主動(dòng)添加它們，否則很容易錯(cuò)過(guò)?！?/p>

據(jù)2019年每個(gè)數(shù)據(jù)泄露的全球平均成本392萬(wàn)美元，這些發(fā)現(xiàn)令人震驚。令人遺憾的是，許多網(wǎng)絡(luò)安全和IT專(zhuān)業(yè)人員仍然認(rèn)為云提供商負(fù)責(zé)保護(hù)其云中的數(shù)據(jù)。而且，他們的大多數(shù)假設(shè)都不符合苛刻的法律現(xiàn)實(shí)。

這意味著企業(yè)將是唯一的責(zé)任者，要為錯(cuò)誤配置或廢棄的云存儲(chǔ)以及由此導(dǎo)致的數(shù)據(jù)泄露負(fù)責(zé)。

未受保護(hù)的代碼存儲(chǔ)庫(kù)

北卡羅萊納州立大學(xué)的研究發(fā)現(xiàn)，超過(guò)100 000個(gè)GitHub存儲(chǔ)庫(kù)一直在泄漏秘密API令牌和加密密鑰，并且每天都有成千上萬(wàn)的新存儲(chǔ)庫(kù)公開(kāi)秘密。加拿大銀行業(yè)巨頭豐業(yè)銀行最近成為新聞?lì)^條，據(jù)報(bào)道，該文件在公開(kāi)開(kāi)放且可訪問(wèn)的GitHub存儲(chǔ)庫(kù)中存儲(chǔ)了幾個(gè)月的內(nèi)部源代碼、登錄憑證和訪問(wèn)密鑰。

第三方（尤其是外部軟件開(kāi)發(fā)人員）通常是最薄弱的環(huán)節(jié)。開(kāi)發(fā)人員缺乏保護(hù)代碼所必需的適當(dāng)培訓(xùn)和安全意識(shí)。他們一次擁有多個(gè)項(xiàng)目，期限緊迫且客戶(hù)不耐煩，因此他們忽略或忘記了安全性的基本原理，將其代碼置于公共領(lǐng)域。

網(wǎng)絡(luò)罪犯非常清楚這個(gè)數(shù)字漏洞。專(zhuān)門(mén)從事OSINT數(shù)據(jù)發(fā)現(xiàn)的網(wǎng)絡(luò)幫派會(huì)以連續(xù)模式精心抓取現(xiàn)有和新的代碼存儲(chǔ)庫(kù)，并小心地廢棄數(shù)據(jù)。一旦發(fā)現(xiàn)有價(jià)值的東西，就將其出售給專(zhuān)注于利用和進(jìn)攻性行動(dòng)的網(wǎng)絡(luò)幫派。

鑒于此類(lèi)入侵很少會(huì)在異常檢測(cè)系統(tǒng)中觸發(fā)危險(xiǎn)信號(hào)，因此不會(huì)引起注意或檢測(cè)它們，一旦發(fā)現(xiàn)為時(shí)已晚。更糟糕的是，對(duì)此類(lèi)入侵的調(diào)查成本很高，且?guī)缀鹾翢o(wú)根據(jù)。許多著名的APT攻擊都涉及使用代碼存儲(chǔ)庫(kù)中的憑據(jù)進(jìn)行密碼重用攻擊。

脆弱的開(kāi)源軟件

在企業(yè)系統(tǒng)中，開(kāi)源軟件（OSS）的迅速擴(kuò)散，通過(guò)向游戲中添加更多未知數(shù)而加劇網(wǎng)絡(luò)威脅的態(tài)勢(shì)。ImmuniWeb的最新報(bào)告發(fā)現(xiàn)，在100家較大的銀行中，有97家是脆弱的，并且Web和移動(dòng)應(yīng)用程序的編碼不佳，到處都是過(guò)時(shí)且脆弱的開(kāi)源組件、庫(kù)和框架。自2011年以來(lái)，已知的最古老的未修補(bǔ)漏洞已廣為人知并公開(kāi)披露。

OSS確實(shí)為開(kāi)發(fā)人員節(jié)省了很多時(shí)間，并為組織節(jié)省了資金，但同樣也提供了各種各樣的風(fēng)險(xiǎn)。很少有組織能夠正確跟蹤和維護(hù)無(wú)數(shù)的OSS及其內(nèi)置于企業(yè)軟件中的組件清單。因此，在積極利用新發(fā)現(xiàn)的OSS安全漏洞時(shí)，他們由于不知情而蒙蔽了眼睛，成為未知受害者。

如今，大中型組織在應(yīng)用程序安全性方面進(jìn)行了增量投資，特別是在DevSecOps和Shift Left測(cè)試的實(shí)施方面。但是，要實(shí)施Shift Left測(cè)試，必須全面了解OSS的最新清單。

如何預(yù)防和補(bǔ)救

請(qǐng)遵循以下5個(gè)建議，以節(jié)省成本的方式降低風(fēng)險(xiǎn)：

1.維護(hù)數(shù)字資產(chǎn)（SSL證書(shū)）的最新和整體清單

軟件、硬件、數(shù)據(jù)、用戶(hù)和許可證應(yīng)得到持續(xù)監(jiān)控、分類(lèi)和風(fēng)險(xiǎn)評(píng)分。在公共云、容器、代碼存儲(chǔ)庫(kù)、文件共享服務(wù)和外包的時(shí)代，這不是一件容易的事，但是如果沒(méi)有它，可能會(huì)破壞網(wǎng)絡(luò)安全工作的完整性并否定以前的所有網(wǎng)絡(luò)安全投資。

2.監(jiān)控外部攻擊面和風(fēng)險(xiǎn)暴露

很多組織無(wú)視他們可從Internet訪問(wèn)的眾多過(guò)時(shí)、遺棄或只是未知的系統(tǒng)，而將錢(qián)花在輔助甚至理論風(fēng)險(xiǎn)上。這些影子資產(chǎn)是網(wǎng)絡(luò)犯罪分子垂涎的果實(shí)，攻擊者聰明而務(wù)實(shí)，他們能夠通過(guò)一條被遺忘的地下隧道悄悄進(jìn)入。因此，請(qǐng)確保對(duì)外部攻擊有連續(xù)不斷的了解。

3.保持軟件更新，實(shí)施補(bǔ)丁程序管理和自動(dòng)補(bǔ)丁程序

大多數(shù)成功的攻擊并不涉及使用復(fù)雜且成本高昂的0day，而是公開(kāi)披露的漏洞，通?？捎行У乩?。黑客會(huì)系統(tǒng)地搜索防御領(lǐng)域中最薄弱的環(huán)節(jié)以進(jìn)入，甚至一個(gè)很小的、過(guò)時(shí)的JS庫(kù)也可能使您受到攻擊。因此，需要為所有系統(tǒng)和應(yīng)用程序?qū)嵤?、測(cè)試和監(jiān)視強(qiáng)大的補(bǔ)丁程序管理系統(tǒng)。

4.根據(jù)風(fēng)險(xiǎn)和威脅確定測(cè)試和補(bǔ)救工作的優(yōu)先級(jí)

一旦可以清楚地看到數(shù)字資產(chǎn)并正確實(shí)施了補(bǔ)丁程序管理策略，就可以確保一切正常。為所有外部資產(chǎn)部署連續(xù)的安全監(jiān)控、進(jìn)行深入測(cè)試，包括對(duì)關(guān)鍵業(yè)務(wù)Web應(yīng)用程序和API的滲透測(cè)試。通過(guò)快速通知設(shè)置監(jiān)視任何異常。

5.密切關(guān)注Dark Web并監(jiān)視數(shù)據(jù)泄漏

大多數(shù)企業(yè)不知道在被黑客入侵的第三方網(wǎng)站和服務(wù)中暴露了多少公司帳戶(hù)，他們?cè)贒ark Web上被出售。密碼重用和暴力攻擊的成功源于此。更糟糕的是，即使像Pastebin這樣的合法網(wǎng)站也經(jīng)常暴露出每個(gè)人都可以訪問(wèn)的大量泄漏、被盜或丟失的數(shù)據(jù)。持續(xù)監(jiān)視和分析這些事件可能節(jié)省數(shù)百萬(wàn)美元，最重要的是可以減少聲譽(yù)和商譽(yù)的損失。

還有一些小點(diǎn)子：

快速發(fā)現(xiàn)外部數(shù)字資產(chǎn)，包括API、云存儲(chǔ)和物聯(lián)網(wǎng)；

對(duì)應(yīng)用程序的可入侵性和吸引力進(jìn)行可行的、數(shù)據(jù)驅(qū)動(dòng)的安全性評(píng)級(jí)；

持續(xù)監(jiān)視公共代碼存儲(chǔ)庫(kù)中未受保護(hù)或泄漏的源代碼；

持續(xù)監(jiān)控Dark Web是否暴露了憑據(jù)和其他敏感數(shù)據(jù)；

Web和移動(dòng)應(yīng)用程序的安全生產(chǎn)軟件組成分析；

關(guān)于域名和SSL證書(shū)即將過(guò)期的即時(shí)警報(bào)；

通過(guò)API與SIEM和其他安全系統(tǒng)集成。

希望所有的企業(yè)都能避免在2020年成為數(shù)據(jù)泄露的受害者。